Zu den größten Risiken für Nutzer eines Betriebssystems zählen die sogenannten Erpressungstrojaner. Für diesen Fall hat Microsoft im Juni 2017 einen Zugriffsschutz unter dem Namen „Controlled Folder Access“ (CFA) in Windows 10 einbauen lassen. Dieser soll den Anwendern ermöglichen, bestimmte Ordner so zu schützen, dass nur festgelegte  Apps auf diese Zugriff haben und somit nicht auf alle Daten schreibend zugegriffen werden kann. Hierbei bedachte Microsoft nur nicht, dass die Microsoft Office-Programme im Auslieferungszustand automatisch auf alle CFA-Ordner zugreifen können.

1. OFFICE-DOKUMENTE ALS ERPRESSUNGSTROJANER

Eine bessere Anpassung / Abstimmung für eine sichere Software gibt es auf der Windows-Plattform kaum, denn die Office-Programme werden von Microsoft ausgeliefert und durch eine betriebsinterne Update-Funktion immer auf dem neusten Stand gehalten. Bei der Entwicklung scheint jedoch ein fataler Denkfehler unterlaufen zu sein, denn Verbrecher könnten die Software, mit der diese die Erpressungstrojaner – meistens in Form von Phishing-Mails mit einem Office-Dokument als Anhang – versenden, so abändern, dass ihr Schadcode das jeweilige Office-Programm missbraucht, um auf die „Controlled Folder Access“ – Ordner zuzugreifen. Hieraus ergibt sich eindeutig, dass diese neue Schutzfunktion wirkungslos ist.

Durch ein Python -Skript, welches durch einen Sicherheitsforscher der spanischen Sicherheitsfirma „Security by Default“ so umgebaut wurde, dass man trotz des aktiven CFA-Ordners auf diesen Zugriff erhält, ist diese Schwachstelle bekannt geworden. Er machte sich hierfür die OLE-Schnittstelle von Microsoft zu Nutze, um so per Word auf den Ordner zugreifen zu können. Der CFA-Ordner blockierte zwar den Zugriff, aber über OLE-Schnittstelle und Windows.exe wurde dieser zugelassen, da in der Whitelist der erlaubten Programme die Office-Apps automatisch mit drinnen stehen.

2. OFFICE APPS JEDERZEIT „GUTARTIG EINGESTUFT“ !?

Über die Einstellungen des Windows 10 Defenders, lässt sich Controlled Folder Access aktivieren. Dort befindet sich außerdem die Whitelist, mit den Programmen, welche trotz des aktivierten Schutzes, auf solch einen CFA-Ordner zugreifen können – die Office Apps sind dort nicht mit aufgeführt. Es wird lediglich ein Hinweis an den Nutzer gegeben, dass „von Microsoft als gutartig eingestufte Apps“ immer Zugriff auf derartige Ordner hätten. Es ist fraglich, die eigenen Office-Programme als harmlos einzustufen, insbesondere, da eine Vielzahl von Erpressungstrojanern mittels Office-Programmen in den Umlauf kommen. Bereits Mitte 2017 wurden bei dem laut Microsoft besonders sicheren Windows 10 S Sicherheitslücken aufgedeckt.

3. CFA – LAUT MICROSOFT KEINE SICHERHEITSLÜCKE

Microsoft sieht diese Problematik jedoch nicht als Sicherheitslücke an, da die Controlled-Folder-Access-Funktion keine Sicherheitsbarriere darstellen solle. Allerdings will Microsoft das Problem mittels einer Verbesserung der Controlled-Folder-Access-Funktion aus der Welt schaffen. Genaue Pläne hierfür wurden jedoch noch nicht mitgeteilt.

Um sicher mit Geräten unter Microsoft Windows 10 umgehen zu können, empfehlen wir den Artikel „Sichere Nutzung von Geräten unter Microsoft Windows 10“ des Bundesamtes für Sicherheit in der Informationstechnik im nachfolgenden Link: https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSIFB/Publikationen/BSI_CS_019.pdf?__blob=publicationFile&v=4